«A un abogado como yo, de principios de la segunda mitad del siglo pasado, la cibernética, la Internet, computación, redes sociales, Inteligencia Artificial, física cuántica, le cuesta. No se me hace fácil eso de ciber de cualquier cosa; es menos amable que otros temas.
La tramitación electrónica, y otros que hasta se pronuncian difícil; para ser honesto, me asustan un poco.
Pero aquí estamos, con la pluma y la tinta: vamos a intentarlo La Ley Marco de Ciberseguridad, N° 21.663, fue publicada en el Diario Oficial N° 43.820, del 8 de abril de 2024. Contiene diez títulos y seis disposiciones transitorias.
El legislador sabe adaptarse a las necesidades sociales.»
TÍTULO I DISPOSICIONES GENERALES
1. Objeto de la ley
1.1. Del objeto de la ley
1.2. Concepto de Administración del Estado
1.3. Empresas del Estado
2. Definiciones
2.1. Activo informático
2.2. Agencia
2.3. Auditorías de Seguridad
2.4. Autenticación
2.5. Ciberataque
2.6. Ciberseguridad
2.7. Confidencialidad
2.8. Disponibilidad
2.9. Equipo de respuesta
2.10. Incidente de ciberseguridad
2.11. Integridad
2.12. Red y sistema informático
2.13. Resiliencia
2.14. Riesgo
2.15. Vulnerabilidad
3. Principios rectores
3.1. Principio de control de daños
3.2. Principio de cooperación con la autoridad
3.3. Principio de coordinación
3.4. Principio de ciberseguridad en el ciberespacio
3.5. Principio de respuesta responsable
3.6. Principio de seguridad informática
3.7. Principio de racionalidad
3.8. Principio de seguridad y privacidad por defecto y desde el diseño
TÍTULO II
OBLIGACIONES DE CIBERSEGURIDAD
PÁRRAFO 1º SERVICIOS ESENCIALES Y OPERADORES DE IMPORTANCIA VITAL
4. Ámbito de aplicación
5. Operadores de importancia vital
5.1. Concepto
5.2. Requisitos
6. Procedimiento de calificación de los operadores de importancia vital
6.1. Periodicidad del proceso
6.2. Solicitud de informes
6.3. Forma en que deben evacuarse los informes
6.4. Plazo para evacuar informe
6.5. Consulta pública
A. Instituciones privadas
B. Instituciones públicas
6.6. Del informe
6.7. Resolución fundada
6.8. Recursos 6.9. Reglamento
PÁRRAFO 2º
OBLIGACIONES DE CIBERSEGURIDAD
7. Deberes generales
A. Continuidad
B. Protocolos
C. Coordinación regulatoria
D. Consulta pública
E. Publicidad
F. Medidas diferenciadas
8. Deberes específicos de los operadores de importancia vital
A. Sistema de gestión de seguridad
B. Registro de acciones
C. Planes de continuidad operacional y ciberseguridad
a. Regla general
b. Excepción
D. Operaciones continuas
E. Medidas para impedir impacto y propagación de un incidente de ciberseguridad
F. Certificaciones
G. Deber de informar
H. Programas de capacitación. Campañas de ciberhigiene
I. Delegado de ciberseguridad
9. Deber de reportar
A. Alerta temprana
B. Actualización de la información
a. Regla general
b. Excepción
C. Informe final
D. Continuidad del incidente
E. Otras reglas
a. Requerimiento de actualización de información
b. Deber de informar el plan de acción
c. Obligación de compartir información
d. Instrucciones
e. Reglamento
TÍTULO III
DE LA AGENCIA NACIONAL DE CIBERSEGURIDAD .
PÁRRAFO 1º OBJETO, NATURALEZA Y ATRIBUCIONES
10. Agencia Nacional de Ciberseguridad
10.1. Características A. Es un servicio público
B. Es un servicio funcionalmente centralizado
C. Está dotado de personalidad jurídica
D. Posee patrimonio propio
E. Es de carácter técnico especializado
10.2. Objeto
10.3. De la coherencia normativa
10.4. Relaciones con el Presidente de la República
10.5. Domicilio
11. Atribuciones de la Agencia
A. Asesorar al Presidente de la República
B. Dictar normas
C. Aplicar e interpretar normas
D. Coordinar y supervisar al CSIRT Nacional
E. Coordinación con el CSRIT
F. Registro Nacional de Incidentes de Ciberseguridad
G. Calificar a los “servicios esenciales” y otros
H. Requerir entrega de información
I. Planes y acciones
J. Requerir acceso a la información
K. Requerir acceso a redes y sistemas informáticos
a. Concepto
b. Procedimiento administrativo
i. Notificación
ii. Entrega de información
iii. Oposición
c. Procedimiento judicial
i. Competencia
ii. De la solicitud
iii. Citación a audiencia
iv. Audiencia
v. Fallo
vi. Impugnación del fallo
vii. Tramitación
viii. Preferencia
ix. Implicancias y recusaciones .
x. Restricción del acceso o uso de redes o sistemas informáticos .
xi. Otros casos de requerimientos de acceso a redes y sistemas informáticos
L. Atribución de cooperación .
a. Cooperación con organismos públicos o instituciones privadas .
b. “Punto de contacto” c. Cooperación con Estados y organismos internacionales
M. Prestar asesorías
N. Colaboración
Ñ. Fiscalización
a. Concepto
b. Atribuciones
c. Deber de cooperación de la entidad fiscalizada
d. Requerimiento de información
e. Citación a declarar .
O. Instruir procedimientos y sancionar infracciones e incumplimientos .
P. Fomentar la investigación, y otros
Q. Realizar seguimiento y evaluación
R. Informar a los CSIRT
S. Determinar categorías de incidentes o vulnerabilidades de ciberseguridad eximidas de notificación
T. Certificaciones
U. Acreditaciones
V. Establecer los estándares que deben cumplir las instituciones
W. Establecer estándares de ciberseguridad
X. Administrar la Red
Y. Coordinación anual
Z. Otros que las leyes les encomiende
PÁRRAFO 2º
DIRECCIÓN, ORGANIZACIÓN Y PATRIMONIO DE LA AGENCIA NACIONAL DE CIBERSEGURIDAD
12. Dirección de la Agencia
13. Subdirección
14. Atribuciones del Director(a) Nacional
15. Del patrimonio de la Agencia
16. Nombramiento de autoridades
17. Del personal de la Agencia
A. Código del Trabajo
B. Normas de probidad
C. Estatuto Administrativo
D. Responsabilidad
E. Responsabilidad disciplinaria
F. Alta Dirección Pública
G. Destinaciones, comisiones de servicio y cometidos funcionarios
H. Prohibiciones laborales
I. Estructura de la dotación de trabajadores de la Agencia
J. Estructura interna del Servicio
K. Mandato imperativo a la Agencia
18. Prohibiciones e inhabilidades
A. Prohibición de prestar servicios
B. Incompatibilidad de intereses
C. Otras prohibiciones
D. Excepciones
E. Dedicación exclusiva
a. Regla general
b. Excepciones
c. Autorización previa
d. Aplicación del Estatuto Administrativo
19. Notificación responsable de vulnerabilidades
A. Exención de la obligación de denunciar
B. Secreto de la notificación
PÁRRAFO 3º
CONSEJO MULTISECTORIAL SOBRE CIBERSEGURIDAD
20. Consejo Multisectorial sobre Ciberseguridad
A. Concepto
B. Funciones
C. Integración del Consejo
D. Duración
E. Declaración de intereses
F. Principio de la abstención
21. Funciones del Consejo
A. Número de sesiones
B. Regla general. Publicidad
C. Excepción. Reserva
D. Acuerdos .
E. Colaboración de la Agencia
F. Reglamento
22. De las causales de cesación
REMOCIÓN Y CESE EN EL CARGO
PÁRRAFO 4º
RED DE CONECTIVIDAD SEGURA DEL ESTADO
23. Red de Conectividad Segura del Estado .
A. Concepto .
B. Convenios .
C. Reglamento .
PÁRRAFO 5º
EQUIPO NACIONAL DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA
24. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática
A. Concepto
B. Funciones
a. Responder
b. Coordinar
c. Servir
d. Prestar
e. Supervisar
f. Efectuar
g. Realizar h. Requerir
i. Difundir
j. Elaborar
TÍTULO IV
COORDINACIÓN REGULATORIA Y OTRAS DISPOSICIONES
25. Coordinación regulatoria
A. Solicitud de informe
B. Procedimiento
a. Plazo para contestar
b. Actitudes de la autoridad requerida
i. Rebeldía
ii. Contestación
C. Efectos
D. Excepciones
26. Normativa sectorial
A. Generalidades
B. Conflicto de normas
C. Norma conjunta .
27. Incidentes de efecto significativo
A. Concepto
B. Criterios para determinar su importancia
C. Mandato imperativo legal a las CSIRT
D. Datos personales
E. Procedimiento específico de notificación
28. Centros de certificación
A. Certificaciones de ciberseguridad
B. Homologación de certificados extranjeros
TÍTULO V
DEL EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA DE LA DEFENSA NACIONAL
29. Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional
A. Concepto
B. Funciones
C. Dependencia
D. Dependencia presupuestaria
30. De las funciones del CSIRT de la Defensa Nacional
31. De los Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional
A. Equipos de Respuesta
a. Concepto b. Finalidad
B. CSIRT Institucionales
C. Funciones de los CSIRT Institucionales
32. Deber de reporte al CSIRT de la Defensa Nacional
A. Deber de reportar .
B. Excepción
TÍTULO VI
DE LA RESERVA DE INFORMACIÓN EN EL SECTOR PÚBLICO EN MATERIAS DE CIBERSEGURIDAD
33. De la reserva de información
A. Regla general
B. Excepción
C. Duración del deber de reserva
D. Seguridad de la Nación e interés nacional
E. Otros casos de reserva
34. Extensión del deber de reserva
35. Deber de reserva de la Agencia Nacional de Ciberseguridad
A. Deber de reserva
B. Deber de respetar derechos fundamentales
a. Regla general
b. Excepción .
36. Sanciones
A. Pena
B. Administrativa
TÍTULO VII
DE LAS INFRACCIONES Y SANCIONES
37. Competencia de la autoridad sectorial
A. Autoridad sectorial
B. Agencia Nacional de Ciberseguridad
38. Infracciones
A. Leves
B. Graves
C. Gravísimas
39. De las infracciones de los operadores de importancia vital
A. Leves .
B. Graves
C. Gravísimas
40. De las sanciones
A. Infracciones
a. Leves
b. Graves
c. Gravísimas
B. Criterio para fijar el monto de la multa
C. Concurso de leyes
D. Prescripción
a. Plazo b. Interrupción
41. Procedimiento simplificado
A. Ámbito de aplicación
B. Proposición de la Agencia
42. Procedimiento administrativo sancionador
A. Requisitos generales de instrucción
a. Formulación de cargos
b. Descripción de hechos
c. Fundamentación
d. Designación de presunto responsable
e. Designación de funcionario instructor
f. Plazo para formular descargos
g. Notificaciones
B. Descargos
a. Circunstancias y antecedentes
b. Presentaciones posteriores
c. Diligencias probatorias
C. Término probatorio
a. Duración
b. Prórroga
c. Medios de prueba
d. Apreciación de la prueba
D. Otras diligencias
a. Concepto
b. Plazo
E. Conclusión del proceso
a. Informe del instructor
b. Plazo
F. Fallo
43. Recursos
A. Recursos que proceden
B. Plazo para resolverlo
C. Efectos .
44. Ejecución del fallo
A. Plazo
B. Mérito ejecutivo
C. Cobro
D. Pago de la multa
E. Retardo en el pago
45. Pronto pago
46. Procedimiento de reclamación judicial
DEL RECLAMO DE ILEGALIDAD
A. Casos de procedencia
B. Tribunal competente
C. Plazo
D. Reglas especiales
a. Escrito
b. Inadmisibilidad .
Orden de no innovar
c. Petición de informe d. Prueba
e. De la vista de la causa
f. Fallo
g. Procedimiento sancionatorio
h. Recurso para ante la Corte Suprema
i. Reglas supletorias
47. Responsabilidad administrativa del jefe superior del organismo de la Administración del Estado
TÍTULO VIII
DEL COMITÉ INTERMINISTERIAL SOBRE CIBERSEGURIDAD
48. Comité Interministerial sobre Ciberseguridad
A. Objeto
B. Deberes del Comité
49. De los integrantes del Comité
50. De la Secretaría Ejecutiva
51. De la información reservada
52. Del Reglamento
TÍTULO IX
ÓRGANOS AUTÓNOMOS CONSTITUCIONALES
53. Regímenes especiales
ANEXOS
1. Ley No 21.663. Ley Marco de Ciberseguridad
2. Ley No 19.880. Establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado
